우리는 지난 몇 년 동안 많은 유명 암호 화폐 해킹을 보았습니다. 이 가이드에서 우리는 암호 화폐 세계를 핵심으로 흔드는 가장 중요한 5 가지 해킹에 대해 이야기 할 것입니다. 의도는 당신을 놀라게하는 것이 아니라 교육하고 이러한 공격이 발생한 이유를 이해하도록하는 것입니다. 암호 화폐의 작동 원리에 대해 자세히 알아 보려면 전용 블록 체인 과정을 살펴보십시오..

5 개의 높은 프로필 암호 화폐 해킹

Mt. Gox 해킹

올해는 2013 년이고 Max Karpeles는 세계 정상에 있습니다..

5 개의 높은 프로필 암호 화폐 해킹

일본에 본사를 둔 Mt. Gox (Magic The Gathering Online Exchange)는 지금까지 세계에서 가장 큰 비트 코인 거래소였습니다. 전 세계 비트 코인 거래소의 70 %를 처리하는 세계 최대의 비트 코인 중개 업체였습니다. Karpeles에게는 상황이 좋아 보였고 그는 Bitcoin Café와 같은 많은 흥미로운 개념을 연구하고있었습니다. 그러나 표면 아래에 균열이 발생했습니다..

블록 체인 개발자가되기위한 교육

오늘 무료 평가판 시작!

후지산의 문제점. Gox

2014 년 해킹이 발생하기 전에 Mt Gox에는 많은 문제가 있었으며 모든 것은 매우 무능한 관리로 거슬러 올라갈 수 있습니다. 여러면에서 그것은 일어나기를 기다리는 재앙이었습니다. 취업 기회를 찾기 위해 회사를 방문한 도쿄 기반 소프트웨어 개발자는 그가 본 것에 놀랐습니다..

문제 # 1 : VCS 부족

첫째, VCS (Version Control Software)가 부족했습니다. VCS는 다양한 이유로 소프트웨어 개발 회사에서 반드시 필요합니다..

  • VCS를 사용하면 코드베이스의 모든 변경 사항을 추적 할 수 있습니다. VCS를 사용하면 코드가 변경된 시간을 정확하게 볼 수있을뿐만 아니라 누가 코드를 변경했는지 알 수 있습니다. 또한 변경 사항을 롤백하고 이전 버전으로 돌아갈 수 있습니다..

  • VCS의 또 다른 장점은 한 프로그래머가 다른 프로그래머의 코드를 겹칠 염려없이 동시에 많은 사람들이 함께 코딩 할 수 있다는 것입니다. 이것은 Mt. 같은 회사에서 정말 도움이 될 수 있습니다. 여러 프로그래머가 동시에 같은 코드를 작업하는 Gox.

문제 # 2 : 테스트 정책의 부족

소프트웨어 개발자는 또 다른 매우 놀라운 소식을 접했습니다. 최근까지 Mt. Gox에는 테스트 정책이 없었습니다. 잠시 생각해보십시오. 세계에서 가장 큰 비트 코인 거래소 플랫폼에는 테스트 정책이 없었습니다! 그들은 말 그대로 고객에게 테스트되지 않은 코드를 던지고있었습니다! 그리고 더 나빠집니다.

문제 # 3 : 병목 문제

밝혀졌다, Mt. Gox에는 병목 문제가있었습니다. 코드의 모든 변경 사항은 CEO가 직접 승인해야했습니다. Karpeles는 끝이었고 전체 시스템의 전부였습니다. 그것은 단지 나쁜 관리 일뿐입니다. 회사의 CEO가 전체 코딩 프로세스의 병목이되어서는 안되지만 정확히 일어난 일입니다..

문제 # 4 : 적절한 관리 부족

우리가 모든 문제를 추측한다면 모든 것이 한 가지로 귀결됩니다. 매우 무능하고 유치한 관리. Andreas Antonopoulos는 매우 비열한 보고서에서 이렇게 말했습니다.

“Magic The Gathering Online Exchange는 비트 코인에 대한 체계적인 위험, 트레이더를위한 죽음의 함정 및 우둔한 사람들이 운영하는 비즈니스입니다.”

그것들은 매우 가혹한 말이지 만 그 진술에는 너무 많은 진실이 있습니다. 문제는 Karpeles가 사업가 라기보다는 이상적인 프로그래머 였다는 것입니다. 그는 코딩을 할 수 있었지만 회사를 운영하는 데 필요한 통찰력을 가질 수 없었습니다. 그리고 안타깝게도 이로 인해 엄청난 재앙이 닥쳤습니다. 하지만 아무도 보지 못한 건 아니에요.

2011 년 해킹 : 앞으로 올 일의 신호

2011 년 6 월 19 일 이상한 일이 일어났습니다. 후지산의 비트 코인 가치. Gox는 1 센트까지 떨어졌습니다.!

5 개의 높은 프로필 암호 화폐 해킹

이미지 제공 : Wikipedia

위 이미지 참조?

이는 2011 년 6 월 19 일 Mt. Gox Bitcoin Exchange에서 이루어진 모든 비트 코인 거래의 그래프이며 가격 폭락을 보여줍니다. 원형 플롯의 크기는 거래의 크기를 나타냅니다..

그래서 정확히 무슨 일이 일어나고 왜 가격이 내려 갔습니까??

공격자는 후지산을 해킹했습니다. Gox 감사인의 컴퓨터를 사용하여 엄청난 양의 비트 코인을 자신에게 전송했습니다. 그들은 거래소의 소프트웨어를 사용하여 이러한 모든 비트 코인을 판매했고 이로 인해 시스템에 엄청난 부담이 생겼고 그 결과 시스템의 비트 코인 가치가 급격히 떨어졌습니다..

가격이 몇 분 안에 다시 조정되었지만 이미 많은 피해가 발생했습니다. $ 8,750,000 이상에 해당하는 계정이 영향을 받았습니다. Mt. Gox는이 재난에서 다시 기어 올랐습니다. 다가올 재앙에서 그들을 구할 수있는 것은 아무것도 없었습니다..

2014 년 해킹 : 4 억 7300 만 달러 강도

2014 년 Mt. Gox 사용자는 서비스의 긴 지연에 대해 불평했습니다. 실제로 미국 은행 시스템이 실제로 Mt. 규제 문제 때문에 밖으로 Gox. 2014 년 2 월 7 일, 회사는 회사의 기술 프로세스를 살펴보고 지연이 발생하는 이유를 확인하기 위해 모든 비트 코인 인출을 중단했습니다..

그들은 다음 성명을 발표했습니다.

5 개의 높은 프로필 암호 화폐 해킹

이미지 제공 : Coindesk

확인 과정에서 거래 가단성 공격을 받았다는 사실을 깨달았습니다..

거래 가단성이란??

이해하기 전에 비트 코인의 간단한 거래 코드가 어떻게 생겼는지 살펴 보겠습니다..

이것은 코드 양식에서 트랜잭션이 어떻게 보이는지입니다. Alice가 Bob에게 0.0015 BTC를 보내고 싶어하고 그렇게하기 위해 0.0015770 BTC의 가치가있는 입력을 보낸다고 가정합니다. 거래 세부 사항은 다음과 같습니다.

5 개의 높은 프로필 암호 화폐 해킹

이미지 제공 : djp3 유튜브 채널.

가장 먼저 보게되는 것은 :

5 개의 높은 프로필 암호 화폐 해킹

트랜잭션의 이름 (일명 입력 및 출력 값의 해시)입니다..

Vin_sz는 입력 데이터의 수입니다. Alice는 이전 트랜잭션 중 하나만 사용하여 데이터를 전송하므로 1입니다..

Vout_sz는 2입니다. 왜냐하면 출력은 Bob과 Alice가 다시 가져올 변경 사항이기 때문입니다..

이것은 입력 데이터입니다.

5 개의 높은 프로필 암호 화폐 해킹

Alice는 하나의 입력 트랜잭션 만 사용하고 있습니다. 이것이 vin_sz가 1 인 이유입니다..

입력 데이터 아래에는 그녀의 서명 데이터가 있습니다 (앞으로 진행할 때 기억하는 것이 중요합니다)..

이 모든 아래에는 출력 데이터가 있습니다.

5 개의 높은 프로필 암호 화폐 해킹

데이터의 첫 번째 부분은 Bob이 0.0015 BTC를 받고 있음을 나타냅니다..

두 번째 부분은 0.00005120 BTC가 Alice가 변경 사항으로 되 돌리는 것임을 나타냅니다..

이제 입력 데이터가 0.0015770 BTC라는 것을 기억하십니까? 이것은 (0.0015 + 0.00005120)보다 큽니다. 이 두 가치의 적자는 채굴자가 징수하는 거래 수수료입니다..

그래서 이것은 간단한 거래의 구조입니다..

이제 트랜잭션 가단성이 무엇을 할 수 있는지 이해하기 전에 알아야 할 것이 하나 더 있습니다. 블록 체인은 완전히 불변으로 만들어졌으며 암호화 해시 기능을 통해 달성됩니다. 이것이 본질적으로 의미하는 바는 데이터가 블록 체인 내부에 삽입되면이를 조작 할 수 없다는 것입니다. 이 품질만으로도 블록 체인 기반 암호 화폐에 엄청난 보안을 제공합니다.

그러나 허점이 있습니다.

데이터를 블록 체인에 넣기 전에 데이터 변조가 발생하면 어떻게됩니까? 변조가 발견 되더라도 블록 체인 내부로 들어가면 아무도 할 수 없습니다..

이를 트랜잭션 가단성이라고합니다..

따라서 데이터를 어떻게 조작 할 수 있습니까??

입력하는 동안 서명 데이터를 염두에 두라고했음을 기억하십시오.?

입력 데이터와 함께 전달되는 서명을 조작 할 수 있으며, 이는 차례로 트랜잭션 ID를 변경할 수 있음이 밝혀졌습니다. 사실 거래가 처음부터 발생하지 않은 것처럼 보일 수 있습니다. 예를 들어 보겠습니다..

Bob이 Alice에게 3 BTC를 보내기를 원한다고 가정합니다. Alice는 Bob의 공개 주소로 3 BTC 거래를 시작한 다음 승인을 위해 채굴 자에게 보냅니다. 트랜잭션이 대기열에서 대기하는 동안 Bob은 트랜잭션 가단성을 사용하여 Alice의 서명을 변경하고 트랜잭션 ID를 변경합니다..

이제이 변조 된 트랜잭션이 Alice가 승인되기 전에 승인 될 가능성이 있습니다. 그러면 Alice의 트랜잭션을 덮어 씁니다. Bob이 3 개의 BTC를 받으면 Alice에게 빚진 3 개의 BTC를받지 못했다고 간단히 알릴 수 있습니다. 그러면 Alice는 자신의 거래가 처리되지 않았 음을 확인하고 다시 보낼 것입니다. 결과적으로 Bob은 3 BTC 대신 6 BTC로 끝납니다..

그리고 그것은 정확히 후지산에서 일어난 일이라고합니다. Gox 해킹. 극단적 인 관리 부실과 비상 계획의 부재로 인해 전 세계 비트 코인 공급량의 약 7 %에 해당하는 약 4 억 7300 만 달러 상당의 비트 코인이 시스템에서 도난당했습니다..

여파

후지산의 타이밍. Gox 공격은 매우 불행했습니다. 비트 코인이 천천히 주류에 노출되는시기였습니다. 후지산이 두려웠습니다. Gox 공격은 시스템에 대한 신뢰를 적어도 4-5 년 정도 되돌릴 수 있습니다. 즉각적인 징후도 불안했습니다. 아래 그래프에서 알 수 있듯이 BTC의 가치는 크게 떨어졌습니다.

5 개의 높은 프로필 암호 화폐 해킹

이미지 제공 : Coindesk

산. Gox는 파산을 선언했고 훔친 돈이 BTC-e라는 다른 거래소를 통해 세탁되고 있다는 사실이 나중에 발견되었습니다. BTC-e의 소유자 인 Alexander Vinnik은 그리스에서 체포되었습니다. 그는 후지산을 통해 얻은 돈을 세탁 한 혐의를 받고 있습니다. Gox는 BTC-e와 Tradehill을 통해 그가 소유 한 또 다른 거래소입니다. 그리스 법원은 그가 기소 될 경우 최대 55 년의 징역형에 처해있는 미국으로의 인도를 승인했습니다..

비트 코인은 고맙게도이 사건을 통과했으며 그 이후로 점점 더 강해졌습니다..

DAO 해킹

따라서 비트 코인을 뒤흔든 가장 큰 공격에서 지금까지 이더 리움이 직면 한 가장 큰 공격으로 이동합니다. 공격과 그 여파가 너무 심해서 개발자들은 그 영향을 처리하기 위해 완전히 새로운 통화를 만들어야했습니다! 따라서 DAO 공격이 무엇인지 이해하기 전에 역사에 대한 약간의 교훈을 드리겠습니다..

5 개의 높은 프로필 암호 화폐 해킹

DAO의 형성

Ethereum의 전체 생태계는 스마트 계약을 기반으로 작동합니다. 시작되지 않은 사람들에게 스마트 계약은 기본적으로 Ethereum 생태계에서 일이 수행되는 방식입니다. 평범한 용어로 말하자면, 스마트 계약은 계약 자체의 조건을 시행하고 촉진하는 자동화 된 계약입니다..

DAO 일명 분산 형 자율 조직은 이더 리움을 영원히 혁신 할 복잡한 스마트 계약이었습니다. 그것은 기본적으로 생태계에서 만들어지는 모든 미래의 DAPP들에 자금을 제공 할 분산 형 벤처 캐피탈 펀드가 될 것입니다.

작동 방식은 매우 간단했습니다. 자금을 조달 할 DAPPS 방향에 대해 발언권을 갖고 싶다면 일정량의 이더에 대해“DAO 토큰”을 구입해야합니다. DAO 토큰은 귀하가 이제 공식적으로 DAO 시스템의 일부임을 나타내는 지표였습니다..

그렇다면 DAPPS는 어떻게 승인되고 구축 될까요? 글쎄, 먼저 그들은 기본적으로 이더 리움 세계에서 일인자로 알려진 큐레이터의 화이트리스트를 받아야합니다. 승인 스탬프를받은 후 DAO 토큰 보유자에 의해 투표됩니다. 제안서가 투표에서 20 % 승인을 받으면 시작하는 데 필요한 자금을 받게됩니다..

DAO의 잠재력과 그것이 제공하는 유연성, 제어 및 완전한 투명성은 전례가 없었기 때문에 사람들은 파이의 몫을 얻기 위해 뛰어 들었습니다. 설립 28 일 만에 크라우드 세일로 1 억 5 천만 달러 상당의 이더를 축적했습니다. 당시 현재까지 발행 된 모든 이더 토큰의 14 %가.

그게 다 좋은데 어떻게 DAO에서 빠져 나갈까요? 당신이 열렬한 팬이 아니라고 일부 DAPP가 승인되면 어떻게 DAO를 탈퇴합니까? 이를 가능하게하기 위해“Split Function”이라는 출구 문이 만들어졌습니다. 이 기능을 사용하면 투자 한 에테르를 되 찾을 수 있으며 원하는 경우 자신 만의 “Child DAO”를 만들 수도 있습니다. 사실, 당신은 여러 DAO 토큰 홀더와 분리되어 자신의 Child DAO를 만들고 제안을 수락 할 수 있습니다..

계약에는 한 가지 조건이 있었지만 DAO에서 분리 된 후 이더를 사용하려면 28 일 동안 보유해야합니다. 그래서 지금은 모든 것이 멋지고 뾰족 해 보입니다. .. 단 하나의 작은 문제가있었습니다. 많은 사람들이이 허점을보고 지적했습니다. DAO 제작자는 이것이 큰 문제가되지 않을 것이라고 확신했습니다. 유일한 것은 이더 리움을 이더 리움과 이더 리움 클래식으로 나누는 폭풍 전체를 만들어 냈다는 것입니다..

DAO 공격

2016 년 6 월 17 일 누군가가 DAO의 허점을 악용하여 DAO 자금의 3 분의 1을 빼앗 았습니다. 약 5 천만 달러입니다. 해커가 발견 한 허점은 돌이켜 보면 매우 간단했습니다..

DAO를 종료하려면 요청을 보내면됩니다. 분할 기능은 다음 두 단계를 따릅니다.

  • 사용자에게 DAO 토큰과 교환하여 이더를 돌려줍니다..
  • 원장에 거래를 등록하고 내부 토큰 잔액을 업데이트합니다..

해커가 한 것은 요청에서 재귀 함수를 만든 것이기 때문에 분할 함수가 진행된 방식입니다.

  • 사용자로부터 DAO 토큰을 가져와 요청한 이더를 제공합니다..
  • 트랜잭션을 등록하기 전에 재귀 함수로 인해 코드가 돌아가고 동일한 DAO 토큰에 대해 더 많은 이더가 전송되었습니다..

이것은 5 천만 달러 상당의 이더가 꺼내 져 Child DAO에 저장 될 때까지 계속되었으며 예상대로 팬 데모 니움은 전체 이더 리움 커뮤니티를 통과했습니다..

참고 : 기사를 계속하기 전에 한 가지 차이점을 명확히하겠습니다. 해킹은 이더 리움 자체의 문제가 아니라 DAO의 문제로 인해 발생했습니다. 이더 리움은 백그라운드에서 실행되고 DAO는 실행됩니다..

Ethereum의 공동 창립자 인 Gavin Wood가 말했듯이 DAO 해킹에 대해 Ethereum을 비난하는 것은 웹 사이트가 다운 될 때마다 “인터넷이 망가졌습니다”라고 말하는 것과 같습니다..

여파

이더 리움 커뮤니티는 함께 모여 소프트 포크가 앞으로 나아가는 가장 좋은 방법이라고 결정했습니다. 소프트 포크는 이전 버전과 호환 될뿐만 아니라 “Dao Attack”이 사라 졌을 것입니다. 그러나 구현 과정에서 개발자는 소프트 포크가 많은 DDOS (서비스 거부) 공격을 유발할 수 있음을 깨달았습니다. 유일한 다른 옵션은 체인을 하드 포크하는 것이었고 이것은 커뮤니티를 분할했습니다. 이“분할”은 두 개의 서로 다른 이더 리움을 생성했습니다. 오리지널 이더 리움 클래식 (ETC)과 새로운 포스트 하드 포크 코인 이더 리움 (ETH).

Bitfinex 해킹

5 개의 높은 프로필 암호 화폐 해킹

이미지 제공 : AltCoin Today

비트 코인 역사상 두 번째로 큰 것은 홍콩 기반 암호 화폐 거래소 플랫폼 인 Bitfinex가 겪었습니다. 당시 7200 만 달러의 가치가 있었던 120,000 BTC가 도난당했습니다. Bitfinex는 2016 년 8 월 2 일에 해킹을 발표했습니다. 해킹이 어떻게 그리고 왜 발생했는지 이해하기 전에 먼저 몇 가지 개념을 새로 고쳐야합니다..

다중 서명 지갑이란??

5 개의 높은 프로필 암호 화폐 해킹

이미지 제공 : Coin Hako 블로그

다중 서명 (다중 서명) 지갑이 어떻게 작동하는지 이해하는 가장 쉬운 방법은 작동하는 데 여러 키가 필요한 금고를 생각하는 것입니다. 다중 서명 지갑은 두 가지 목적에 적합합니다.

  1. 지갑 보안을 강화하고 인적 오류로부터 자신을 구하려면.
  2. 한 명 이상이 사용할 수있는보다 민주적 인 지갑을 만들려면.

다중 서명 지갑은 인적 오류로부터 어떻게 당신을 구합니까? 세계 최고의 다중 서명 지갑 서비스 제공 업체 중 하나 인 BitGo의 예를 들어 보겠습니다. 그들은 3 개의 개인 키를 발행합니다. 하나는 회사 자체가 보유하고, 하나는 사용자가 보유하고, 세 번째는 사용자가 스스로 보관하거나 안전한 사람에게 제공 할 수있는 백업입니다. BitGo 지갑에서 모든 종류의 거래를 수행하려면 최소한 필요합니다. 작동하는 2/3 키. 따라서 뒤에 해커가 있더라도 2 개의 개인 키를 손에 넣는 것은 매우 어려울 것입니다. 또한 어떤 이유로 든 개인 키를 잃어버린 경우에도 친구에게 제공 한 백업 키가 있습니다..

이제 다중 서명 지갑이 어떻게보다 민주적 인 환경을 조성합니까? 10 명의 직원이있는 회사에서 일하고 있고 거래를하려면 8 개의 승인이 필요하다고 가정 해보십시오. Electrum과 같은 소프트웨어를 사용하면 10 개의 키가있는 맞춤형 다중 서명 지갑을 간단히 만들 수 있습니다. 이렇게하면 회사에서 원활한 민주적 거래를 할 수 있습니다..

모든 놀라운 기능에도 불구하고 하루가 끝나면 다중 서명 지갑은 여전히 ​​핫 지갑이므로 경제적으로 사용해야합니다. Bitfinex 해킹 (조금 더 자세히 설명)은 다중 서명 보안이 있음에도 불구하고 발생했습니다. 또한 하루가 끝나면 지갑을 사용하는 회사에는 여전히 개인 키 중 하나가 있습니다. 그것은 그들이 당신의 자금에 대해 무엇을 할 수 있는지에 관한 그들의 윤리에 전적으로 달려 있습니다..

해킹은 어떻게 일어 났습니까??

문제의 원인은 사용자에게 더 나은 보안 및 유동성 옵션을 제공 할 시스템을 찾아야한다는 Bitfinex의 필요성이었습니다. 대부분의 거래소는 단순한 “핫”지갑이므로 항상 해킹에 취약합니다. Bitfinex는 2015 년 BitGo와 파트너십을 맺고 위험을 관리하기 위해 여러 소유자에게 키가 분할 된 다중 서명 지갑을 각 고객에게 제공하는 시스템을 만들었습니다..

Bitfinex는 다음과 같이 선언했습니다.

“고객 비트 코인과 관련된 모든 보안 노출을 결합하는 시대는 끝났습니다.”

그러나 아이러니하게 보일지 모르지만이 “보안 조치”가 해킹으로 이어졌습니다. 앞서 논의한 바와 같이 다중 서명 지갑에는 위험을 관리하기 위해 여러 소유자에게 나누어 진 키가 있습니다. 거래가 진행 되려면 모든 당사자가 승인해야합니다. Bitfinex의 경우 2 개의 키가 저장되고 하나는 BitGo에 의해 저장됩니다..

따라서 BitGo는 추가 보안 역할을하고 Bitfinex를 떠나는 거래의 유효성을 확인해야합니다. 이러한 추가 보안 계층으로 인해 Bitfinex는 콜드 스토리지 지갑 사용을 줄이고 고객의 돈을 멀티 시그 핫 지갑에 저장했습니다. 이 아이디어는 보안을 손상시키지 않고 유동성을 높이는 것이 었습니다. 그러나 해커가 Bitfinex 서버를 공격했을 때 Bitfinex가 불법 비트 코인 인출에 서명하도록 할뿐만 아니라 때때로 BitGo의 보안 조치를 우회하여 인출도 승인하도록했습니다.!

정확히 왜 그런 일이 일어 났는지에 대한 많은 이론이 있습니다. 음모에서 완전히 우스꽝스러운 이론. 그러나 가장 신뢰할 수있는 이론은 시스템 Bitfinex 설정이 손상되어 BitGo가 사용자의 자금으로 Bitfinex가 말한 모든 작업을 수행 할 수 있다는 것입니다. 따라서 기본적으로 다중 서명 지갑은 실제로 다중 서명이 아니 었습니다. 단 하나의 실패 지점이 있었고 그것이 Bitfinex의 서버였습니다. BitGo가 자신의 서버가 손상된 서버가 아니라고 공개적으로 선언했다는 점을 염두에두면 해당 이론에 더 많은 가중치가 부여됩니다..

여파

비트 코인의 가격은 폭락하여 거의 20 % 하락했습니다. 하나의 BTC는 회복하기 전에 $ 480까지 떨어졌습니다..

5 개의 높은 프로필 암호 화폐 해킹

이미지 제공 : CoinDesk

Bitfinex가 히트를 쳤지 만 그들이 스스로를 상환 한 방식은 확실히 칭찬 할 만합니다.

그들은 처음에 모든 고객에게 BFX 토큰을 발행했는데, 이는 기본적으로 그들이 소유 한 모든 자금에 대한 IOU였습니다. 그러나 이것이 빚을 갚기 위해 더 많은 시간을 벌기 위해 Bitfinex의 사기 일 뿐이라는 소문이 돌기 시작했습니다. 9 월 1 일, 비트 코인 커뮤니티의 두려움과 의심을 완화하기 위해 그들은 발행 된 토큰의 처음 1.1 %를 되찾았습니다..

그러나 그것이 그들의 노력의 끝이 아닙니다. Bitfinex는 더 많은 거래 쌍을 추가하고 더 빠른 인출을 가능하게하고 더 큰 거래를위한 OTC 트레이딩 데스크를 만들었으며 결국 비즈니스는 부채에서 더 빨리 벗어날 수있을만큼 충분히 확보되었습니다..

이미지 제공 : Bitcoin.com

5 개의 높은 프로필 암호 화폐 해킹

2017 년 4 월 3 일, Bitfinex는 BFX 토큰의 모든 거래를 중단하고 사용자가 BFX 토큰 당 $ 1의 전체 가치를 현금화 할 수 있도록 허용했습니다..

다음 표는 전체 “BFX 토큰 상환 내역”을 보여줍니다.

5 개의 높은 프로필 암호 화폐 해킹

이미지 제공 : Wikipedia

패리티 멀티 시그 동결 펀드

기술적으로는 악의적 인 해킹은 아니지만 최근 (작성 당시) 패리티 다중 서명 지갑에서 발생한 일을 언급 할 가치가 있습니다. 계속하기 전에 모든 데이터에 대해 SpringRole에 큰 소리를 지르십시오. 그렇다면 실수로 1 억 5 천만 달러까지 동결 한 적이 얼마나 자주 있었습니까? “devops199″사용자가 실수로 계약을 종료했을 때 정확히 발생한 일입니다. 0x863df6bfa4469f3ead0be8f9f2aae51c91a907b4.

5 개의 높은 프로필 암호 화폐 해킹

이미지 제공 : SpringRole Medium

그는 Pandora ’s Box를 열었다는 사실을 거의 몰랐습니다..

7 월 20 일에 새로운 버전의 패리티 지갑 계약 그 전에 발생한 위반 때문에 시작되었습니다. 불행히도이 새로운 코드에는 큰 결함이있었습니다. 패리티 월렛 라이브러리 컨트랙트를 일반 멀티 시그 월렛으로 전환하고 initWallet 함수를 호출하여 소유자가 될 수 있음이 밝혀졌습니다..

취약한 코드는 다음과 같습니다..

패리티는 다중 서명 지갑에 라이브러리 기반 스마트 계약 개발을 사용했습니다. 의미, 모든 다중 서명 지갑은 모든 기능에 대해이 단일 라이브러리 계약을 참조했습니다. 본질적으로 모든 Partiy Mulit-Sig 지갑에는 단일 실패 지점이 있었고 해당 주소는 지갑 라이브러리 견고성 코드에있었습니다.

상수 _walletLibrary = 0x863df6bfa4469f3ead0be8f9f2aae51c91a907b4

Reddit 사용자에 따르면 아이러니하게도 “ItsAConspiracy”라는 이름으로이 설계가 이루어진 이유는 가스 비용을 절약하기 위해서였습니다. 각각의 고유 한 다중 서명 지갑에 동일한 코드를 복사하여 붙여 넣는 대신 이러한 모든 지갑이 특정 함수 호출을 위임 할 수있는 “공통 공간”역할을하는 라이브러리를 사용하기 시작했습니다..

따라서 기본적으로 모든 지갑에서 동일한 코드를 중복 반복하는 대신 모든 지갑이 일부 기능을 수행하기 위해 호출을 수행 할 수있는 공통된 장소가 있습니다. 이것은 가스 및 저장 공간을 절약하기 위해 수행되었습니다..

그러나 사용자가 무의식적으로 악용 한 치명적인 결함이있었습니다..

사용자는 기본적으로 라이브러리 자체를 지갑으로 초기화하여 라이브러리를 완전히 죽일 수있는 권한을 포함하여 소유자 권한을 주장 할 수있었습니다..

모든 견고성 계약에는 “kill”기능이 있습니다. 다음은 아이디어를 제공하는 샘플 kill 함수입니다.

함수 kill ()

{

if (msg.sender == 작성자)

{

자살 (창조자);

}

}

kill 함수는 계약을 완료하고 남은 토큰을 계약 작성자에게 넘겨주기 위해 존재합니다..

기본적으로 계약 완료.

따라서 사용자가 지갑을 죽이면 기본적으로 라이브러리와 이와 관련된 모든 논리 기능을 죽였습니다. 즉, 라이브러리에 연결된 모든 지갑이 쓸모 없게되었고 약 1 억 5 천만 달러가 동결되었습니다..

여파

이것은 패리티가 전체 실패에 대해 말한 것입니다.

5 개의 높은 프로필 암호 화폐 해킹

이미지 제공 : SpringRole Medium

글을 쓰는 시점에서 자금은 여전히 ​​잠겨 있습니다..

Ethereum은 불변이므로이 작업은 취소 할 수 없습니다. 자금을 되돌릴 수있는 유일한 방법은 하드 포크를 통하는 것입니다..

이더 리움 커뮤니티는 이에 대해 극도로 분열되어 있으며, 많은 트위터 여론 조사에서 “하드 포크 솔루션”에 대해 거의 50-50 개의지지와 반대를 보이고 있습니다. 다음은 그러한 설문 조사의 예입니다.

5 개의 높은 프로필 암호 화폐 해킹

현재 1 억 5 천만 달러 상당의 이더는 소유권을 주장 할 사람이없이 떠 다니고 있습니다..

보너스 : NiceHash Hack

2017 년 12 월 6 일 00:18 GMT에 슬로베니아에 기반을 둔 채굴 회사 인 NiceHash가 약 8 천만 달러 인 4700 BTC를 해킹당했습니다..

NiceHash의 CEO 인 Marko Kobal은 공격에 대한 우려를 해결하기 위해 Facebook Live에 출연했습니다. 그는 공격 중에 직원의 컴퓨터가 손상되어 강도로 이어진다는 것 외에는 많이 밝히지 않았습니다..

공격자는 기본적으로 직원의 자격 증명을 사용하여 NiceHash 시스템에 액세스했습니다. 이것이 Kobal이 말한 것입니다.

“시스템의 복잡성과 보안을 고려할 때 이것은 매우 조정되고 고도로 정교한 공격으로 보입니다.”

NiceHash는 해킹에 대한 철저한 점검 및 분석을 위해 24 시간 동안 운영을 중단했습니다..

회사는 보도 자료에서 다음과 같이 말했습니다.

“중요하게도 우리의 결제 시스템이 손상되었고 NiceHash Bitcoin 지갑의 내용이 도난당했습니다. 우리는 찍은 BTC의 정확한 수를 확인하기 위해 노력하고 있습니다. 분명히 이것은 깊은 우려의 문제이며 우리는 앞으로이 문제를 바로 잡기 위해 열심히 노력하고 있습니다. 자체 조사를 수행하는 것 외에도 사건은 관련 당국과 법 집행 기관에보고되었으며 긴급한 문제로 그들과 협력하고 있습니다.”

Cryptocurrency Hacks 결론

그래서 거기에 있습니다. 지난 몇 년간 발생한 가장 중요한 (우리 의견으로는) 네 가지 암호화 해킹입니다. 하나는 강도 (Mt Gox)의 엄청난 규모와이를 초래 한 완전히 어리석은 관리 오류로 인해 비틀 거리는 동안 다른 하나 (DAO)는 너무 심해서 피해를 보상하기 위해 새로운 동전을 만들었습니다. 물론 패리티 다중 서명 실패의 우연한 재앙이 있습니다..

그러나 Bitfinex 공격은 암호 세계에 무엇이 던져 지더라도 항상 싸울 방법을 찾고 반격 할 수 있음을 보여줍니다..

그것이 본질적으로이 기사의 목적입니다. 공격에 대해 교육하고 어떤 일이 발생하더라도이 미친 듯하고 놀라운 암호 화폐 세계는 항상 다시 튀어 나와 더욱 강해집니다. 모든 통화 시스템과 마찬가지로 결함이 있으며 모든 개발자 팀은 감사 및 침투 테스트를 통해 지속적인 보안 테스트에 집중해야합니다. 그러나 암호 세계를 볼 때 매우 분명한 것처럼 생존하고 번영하려는 순수한 의지를 부정 할 수는 없습니다..

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me